Danny Palmer Senior Reporter
Danny Palmer är senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 6 december 2021 | Ämne: Säkerhet 
Varför samma gamla cyberattacker fortfarande är så framgångsrika och vad som måste göras för att stoppa dem Titta nu
En rysk regeringsgrupp för backhackning kopplad till SolarWinds supply chain-attack har utvecklat ny skadlig programvara som har använts för att utföra attacker mot företag och regeringar i Nordamerika och Europa i en kampanj utformad för att i hemlighet äventyra nätverk, stjäla information och lägga grunden. för framtida attacker.
Attackerna involverar också kompromiss mellan flera moln- och hanterade tjänsteleverantörer som en del av en kampanj som är utformad för att göra det möjligt för hackare att få tillgång till kunder nedströms från leverantörerna i supply chain-attacker.
Den omfattande kampanjen har detaljerats av cybersäkerhetsforskare på Mandiant som har kopplat den till två hackningsgrupper som de refererar till som UNC3004 och UNC2652.
Mandiant associerar dessa grupper med UNC2452 – även känd som Nobelium i rapporter från Microsoft – en hackningsoperation som arbetar på uppdrag av den ryska utländska underrättelsetjänsten och bakom cyberattacken mot SolarWinds.
Men även om var och en av dessa hackningsoperationer fungerar utanför Ryssland och verkar ha liknande mål, kan forskare inte med säkerhet säga att de alla är en del av en enhet.
“Även om det är troligt att de är samma grupp, har Mandiant för närvarande inte tillräckligt med bevis för att göra denna beslutsamhet med hög tillförsikt”, sade rapporten.
De nyligen detaljerade kampanjerna inkluderar användningen av en specialutvecklad skadlig programvara som forskare har kallat Ceeloader.
Skadlig programvara, skriven på programmeringsspråket C, dekrypterar shellcode-nyttolaster som ska köras i minnet på offrets Windows-maskin, vilket möjliggör distribution av ytterligare skadlig programvara. Ceeloader döljer sig från upptäckt med användning av stora block av skräpkod som gör att den skadliga koden inte går att upptäcka för antivirusprogram.
“Ett fördunklingsverktyg har använts för att dölja koden i Ceeloader mellan stora block av skräpkod med meningslösa anrop till Windows API. De meningsfulla anropen till Windows API är gömda i obfuskerade omslagsfunktioner som dekrypterar namnet på API:t och lös det dynamiskt innan du anropar”, står det i rapporten.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Det är inte klart hur Ceeloader distribueras, men det ger en smygport för ytterligare skadlig aktivitet.
Andra taktiker som angriparna använder inkluderar missbruk av det legitima penetrationstestverktyget Cobalt Strike för att placera en bakdörr på det komprometterade systemet som kan användas för att utföra kommandon och överföra filer, samt tillhandahålla en keylogger som kan användas för att stjäla användarnamn och lösenord.
Förutom spridningen av skadlig programvara har angriparna äventyrat mål via molntjänster.
Precis som andra hackningskampanjer kopplade till Ryssland, riktar dessa attacker sig även mot inloggningsuppgifter för fjärrskrivbordsprotokoll (RDP).
Men oavsett hur nätverket äventyrades verkar de organisationer som attackeras vara i linje med de som måltavlas i tidigare kampanjer som tillskrivs den ryska staten.
“Vi har sett den här hotaktören i slutändan rikta in sig på statliga enheter, konsultorganisationer och icke-statliga organisationer i Nordamerika och Europa som direkt har data av intresse för den ryska regeringen. I vissa fall kompromissade de först med tekniska lösningar, tjänster och återförsäljarföretag i norra Amerika och Europa som har tillgång till mål som är av yttersta intresse för dem, säger Douglas Bienstock, konsultchef på Mandiant till ZDNet.
För angriparna förblir inriktning på molntjänstleverantörer via de nya och befintliga kompromissmetoderna som beskrivs i rapporten en av nyckelmetoderna för att äventyra ett brett spektrum av organisationer. Genom att kompromissa med leverantören har de potential att få tillgång till kunders system.
Incidenter som SolarWinds supply chain attack som tillskrivs den ryska staten, plus cyberkriminella aktiviteter som Kaseya supply chain kompromiss och ransomware attack har visat vilket kraftfullt verktyg detta kan vara för fientliga cyberkampanjer – vilket är anledningen till att molnleverantörer och deras tjänster fortfarande är en framstående mål.
“Genom att äventyra miljön för en enda molntjänstleverantör kan hotaktören komma åt nätverken hos flera organisationer som de är intresserade av som är kunder till den leverantören. På detta sätt kan hotaktören kan fokusera sina ansträngningar på ett litet antal organisationer och sedan skörda stora belöningar, säger Bienstock.
Mandiant forskare säger att de är medvetna om några dussin organisationer som har påverkats av kampanjer 2021 och i fall där de har äventyrats av någon angripare har åtgärder vidtagits för att meddela dem.
Det förväntas att de ryskkopplade hackarna – och andra offensiva cyberoperationer – kommer att fortsätta att rikta sig mot organisationer, leveranskedjor och molnleverantörer runt om i världen. Mandiant har tidigare släppt råd om att hårdna nätverk mot attacker, som inkluderar att tillämpa multifaktorautentisering för alla användare.
MER OM CYBERSÄKERHET
Bränt av SolarWinds attack? USA släpper verktyg för upptäckt efter kompromissSolarWinds hackare, Nobelium, slår återigen till globala IT-försörjningskedjor, varnar MicrosoftSupply chain attacker är hackarens nya favoritvapen. Och hotet blir störreSpionchefens varning: Våra fiender “häller pengar” i kvantberäkningar och AI1 av 15 organisationer kör aktivt utnyttjad version av SolarWinds: Report< /strong> Säkerhets-TV | Datahantering | CXO | Datacenter